ISO 42001 Leitfaden

Eine wesentliche Forderung der ISO 42001 ist die Einrichtung klarer Governance-Strukturen für KI. Die Unternehmensleitung muss ausdrücklich Verantwortung für das KI-Managementsystem übernehmen und geeignete Führungsrollen benennen. Rollen und Zuständigkeiten im Umgang mit KI sind zu definieren und zu dokumentieren – dies umfasst z.B. die Benennung eines KI-Verantwortlichen oder KI-Compliance Officers, die Einrichtung interdisziplinärer KI-Lenkungsgremien (etwa eines KI-Ethikrats) und die Festlegung, wer Entscheidungen über Entwicklung, Anschaffung, Einsatz und Stilllegung von KI-Systemen trifft. Ziel ist, auf allen Ebenen Aufsicht und Rechenschaftspflicht sicherzustellen.

Für FM-Organisationen bedeutet dies, dass KI-Governance in die bestehenden Führungs- und Organisationsstrukturen eingebettet werden muss. In einem typischen FM-Unternehmen könnten etwa Vertreter aus technischem, infrastrukturellem und kaufmännischem FM sowie aus IT und Compliance in einem KI-Governance-Board zusammenkommen, um KI-Strategien und Richtlinien abzustimmen. Wichtig ist, Verantwortung klar zuzuweisen: Wer trägt die letzte Verantwortung, wenn z.B. ein KI-gestütztes Energieoptimierungssystem Fehlentscheidungen trifft? Die Norm verlangt hier klare Antworten und Dokumentation.

Zudem sollen geeignete Ressourcen und Kompetenzen für das KI-Management bereitgestellt werden. Führungskräfte müssen sicherstellen, dass ausreichend Fachpersonal, Budget, Dateninfrastruktur und Werkzeuge vorhanden sind, um KI-Systeme regelkonform zu entwickeln und betreiben. Im FM kann dies bedeuten, Data-Science-Knowhow aufzubauen oder externe Expertise heranzuziehen, um KI-Projekte beurteilen zu können. Auch Schulungen der Mitarbeitenden im Umgang mit KI sind essenziell, damit auf operativer Ebene Bewusstsein für Chancen und Risiken von KI herrscht. Beispielsweise müssen Servicetechniker verstehen, wie sehr sie sich auf Vorhersagen eines KI-Wartungssystems verlassen dürfen und wann menschliches Eingreifen nötig ist. Durch solche organisatorischen Maßnahmen schafft die Norm Verbindlichkeit: KI-Einführung wird Chefsache, und es entstehen feste Verantwortungsstrukturen statt informeller, unsystematischer Experimente.

Risikomanagement bildet das Herzstück von ISO 42001. Unternehmen müssen regelmäßige Risikoanalysen und -bewertungen für alle KI-Systeme durchführen. Dabei sind ethische, rechtliche und betriebliche Risiken zu betrachten. Zu den Kernrisiken zählen z.B. Bias (Verzerrungen) in Algorithmen, mangelnde Transparenz, Datenschutzverstöße, sicherheitskritische Fehlfunktionen oder Abhängigkeiten von Drittanbietern. Die Norm fordert auch Auswirkungsanalysen (Impact Assessments) für KI – ähnlich Datenschutz-Folgenabschätzungen – um abzuschätzen, welche Folgen ein KI-System für Individuen, Organisation und Gesellschaft haben kann. Auf Basis der Risikoanalysen sind angemessene Maßnahmen zur Risikominderung umzusetzen und die Wirksamkeit dieser Maßnahmen zu überwachen.

Ein besonderes Augenmerk liegt auf dem Prinzip der menschlichen Aufsicht (Human Oversight). ISO 42001 verlangt, dass das Ausmaß menschlicher Kontrolle an das Risiko der KI-Anwendung angepasst wird. Hochriskante KI-Systeme (z.B. Systeme, die in Notfällen autonome Entscheidungen treffen) dürfen nicht unkontrolliert agieren – hier muss jederzeit ein Mensch eingreifen oder zumindest das System engmaschig überwachen können. In weniger riskanten Anwendungen kann die Aufsicht entsprechend schlanker ausfallen. Diese risikobasierte Steuerung spiegelt den Ansatz des EU AI Act wider, der KI-Anwendungen in Risikoklassen einteilt und für Hochrisiko-KI strenge Auflagen macht.

Im FM-Kontext variiert das Risikoprofil von KI-Systemen erheblich: Ein KI-Algorithmus zur Raumklima-Optimierung hat andere Risiken (z.B. Komforteinbußen oder Energieverschwendung bei Fehlsteuerung) als eine KI-gestützte Zugangskontrolle mit Gesichtserkennung (die in den Bereich Datenschutz und Grundrechte eingreift) oder ein KI-Modul in der Aufzugssteuerung (das sicherheitskritisch sein kann). FM-Entscheider müssen daher für jedes KI-System den Risikograd bestimmen – unter Umständen auch gemäß EU AI Act Vorgaben – und entsprechende Maßnahmen treffen. Beispiele: Bei einer selbstlernenden Brandmeldungs-KI wäre wahrscheinlich eine redundante Sicherung nötig (klassische Sensorik als Backup) sowie regelmäßige Tests, um Fehlarme oder Nicht-Erkennen zu minimieren. Bei einer KI zur Reinigungsoptimierung könnte das Risiko vor allem darin liegen, bestimmte Bereiche systematisch zu vernachlässigen – hier müsste man durch Kontrollen und Feedbackschleifen gegensteuern.

Wichtig ist auch, Bias-Risiken im FM zu beachten. Selbst scheinbar neutrale Anwendungen können verzerrte Ergebnisse liefern. Etwa könnte ein KI-System zur Lieferantenauswahl systematisch Anbieter aus bestimmten Regionen benachteiligen, wenn die Trainingsdaten verzerrt sind. ISO 42001 fordert Unternehmen auf, sich aktiv mit solchen Bias- und Fairness-Fragen auseinanderzusetzen und Kriterien für Fairness festzulegen. Durch ein strukturiertes Risikomanagement, das diese Aspekte einschließt, kann das FM sicherstellen, dass KI-Systeme weder über- noch unterschätzte Risiken aufweisen und vertrauenswürdig bleiben. Insgesamt verwandelt die Norm das pauschale Innovationsrisiko von KI in handhabbare Einzelrisiken mit konkreten Gegenmaßnahmen – ein entscheidender Mehrwert für die Strategieplanung im FM, wo Risikominimierung (z.B. Betriebssicherheit, Compliance) immer oberste Priorität hat.

Die Norm definiert zwar keine spezifischen technischen Leistungskennzahlen für KI-Systeme, stellt aber klare Anforderungen an die Qualität, Ethik und Sicherheit dieser Systeme auf. Organisationen müssen Richtlinien für den KI-Einsatz entwickeln, die ethische Prinzipien wie Fairness, Nichtdiskriminierung, Transparenz und Verantwortlichkeit verankern. Praktisch bedeutet das z.B., dass ein FM-Dienstleister interne Leitlinien formuliert, wonach KI-Systeme bestimmte Ethik-Kriterien erfüllen müssen – etwa keine unzulässige Benachteiligung bestimmter Nutzergruppen, keine Verletzung von Persönlichkeitsrechten, Vorrang von Menschenleben und -gesundheit vor Sachwerten etc. ISO 42001 fordert explizit die Vermeidung von Vorurteilen (Bias) und Diskriminierung in KI-Systemen. Dies umfasst sowohl technische Maßnahmen (Bias-Erkennungstools, diversifizierte Trainingsdaten) als auch organisatorische (ethische Reviews, Einbindung verschiedener Stakeholder).

Ein zentrales Qualitätskriterium ist die Zuverlässigkeit und Robustheit der KI. KI-Systeme im FM müssen auch unter variierenden Bedingungen stabile Ergebnisse liefern und dürfen im Fehlerfall keinen unverhältnismäßigen Schaden verursachen. Beispiel: Ein KI-Algorithmus zur Prädiktiven Wartung sollte so gestaltet sein, dass er auch bei Datenlücken oder Ausreißern keine gefährlichen Empfehlungen gibt (etwa falsche „alles in Ordnung“-Signale, obwohl ein Bauteil kurz vor dem Ausfall steht). Die Norm verlangt hier kontinuierliche Überwachung der KI-Systemleistung und Korrekturmaßnahmen bei Fehlentwicklungen. Auch Sicherheitsaspekte sind relevant: KI-Systeme müssen vor Manipulation oder Cyberangriffen geschützt werden – ein Punkt, der ISO 42001 mit Informationssicherheitsnormen verbindet.

Transparenz und Erklärbarkeit zählen ebenfalls zu den Anforderungen an KI-Systeme: Nutzer und Betroffene sollen nachvollziehen können, wie und warum eine KI zu einer Entscheidung gekommen ist. Daher müssen FM-Unternehmen bei Einsatz von KI z.B. dafür sorgen, dass bei automatisierten Entscheidungen (wie Priorisierung von Instandhaltungs-Tickets oder Zugangskontrollentscheidungen) die Kriterien und Funktionsweisen dokumentiert und erklärbar sind. Gegebenenfalls ist Betroffenen mitzuteilen, dass KI zum Einsatz kommt (Stichwort AI Transparency).

In praxisnaher Hinsicht bedeutet dies, dass jedes KI-Projekt im FM mit einer Anforderungsanalyse beginnt: Welche ethischen und technischen Mindeststandards muss das System erfüllen? ISO 42001 liefert hier Leitplanken, etwa indem sie Leitfäden in den Anhängen bereithält. So listet Anhang A der Norm konkrete Steuerungsziele und Kontrollen wie KI-Politiken, Interne Organisation, Ressourcen, Auswirkungsanalyse, KI-Lebenszyklusmanagement, Datenmanagement und Beziehungen zu Dritten. Diese wirken wie detaillierte Anforderungen an KI-Systeme und deren Umfeld. Beispielsweise schreibt KI-Lebenszyklus vor, dass man für jedes KI-System dessen gesamten Lebenszyklus planen und steuern muss – von Entwicklung/Beschaffung über Betrieb bis zur Außerbetriebnahme. Im FM könnte das bedeuten: Bei Einführung eines neuen KI-gestützten Gebäudeleitsystems wird gleich mitbedacht, wie man es zukünftig updated, wann es ggf. ersetzt wird und wie man die daraus gewonnenen Daten archiviert oder löscht.

Insgesamt sichert dieser Teil der Norm ab, dass KI-Systeme im FM nicht nur funktional nützlich, sondern auch vertrauenswürdig sind: fair, sicher, erklärbar und robust. Diese Qualitätskriterien gehen über rein technische Spezifikationen hinaus und adressieren Werte, die für FM-Kunden, Gebäudenutzer und die Gesellschaft wichtig sind (z.B. niemand fühlt sich durch ein KI-System ungerecht behandelt oder gefährdet).

Da KI in hohem Maße von Daten abhängt, widmet die Norm dem Datenmanagement besondere Aufmerksamkeit. Organisationen müssen sicherstellen, dass Datenqualität, -genauigkeit und -integrität für alle von KI-Systemen genutzten Daten gewährleistet sind. Praktisch fordert ISO 42001 robuste Prozesse der Datenvorbereitung, -validierung und -bereinigung. Im FM fallen sehr unterschiedliche Daten an – von Sensordaten (Temperatur, Bewegung, Energieverbrauch), über Gebäudedaten (Pläne, BIM-Modelle), Nutzerdaten (Zutritte, Buchungen) bis hin zu kaufmännischen Informationen (Kosten, Verträge). Wenn KI diese Daten verarbeitet, müssen FM-Organisationen Verfahren implementieren, um fehlerhafte oder unvollständige Daten zu erkennen und zu korrigieren. Beispielsweise sollte ein KI-System für Energieverbrauchsprognosen erkennen, wenn Messfühler defekt sind und falsche Werte liefern, und solche Daten ausschließen oder markieren.

Ein weiterer Aspekt ist der Datenschutz und die Informationssicherheit. ISO 42001 verlangt, dass KI-bezogene Daten gemäß geltenden Datenschutzgesetzen (wie DSGVO) geschützt werden. Im Facility Management kann dies besonders relevant sein, wenn KI-Systeme personenbezogene Daten verarbeiten – z.B. Überwachungskameras mit KI-Auswertung (biometrische Daten) oder intelligente Arbeitsplatzbuchungssysteme, die Mitarbeiterpräferenzen analysieren. Hier müssen Maßnahmen wie Anonymisierung, Zugriffskontrollen und Verschlüsselung getroffen werden, um die Privatsphäre zu wahren. Auch der Zugriff Dritter auf Daten (z.B. Cloud-Anbieter, KI-Dienstleister) ist zu regulieren – ISO 42001 sieht vor, die Beziehungen zu Drittparteien im KI-Kontext aktiv zu managen, was Vertragsklauseln und Überprüfungen einschließt.

Im Kontext FM sollte datenbezogenes Risikomanagement ebenfalls etabliert werden: Datenqualitätsrisiken (z.B. Messfehler, Inkonsistenzen zwischen verschiedenen Gebäudedatenquellen), Datenschutzrisiken (Missbrauch sensibler Gebäudenutzer-Daten) und Cyber-Risiken (Angriff auf vernetzte Gebäudesysteme, Manipulation von KI-Sensorik) müssen identifiziert und mitigiert werden. Die Norm gibt hier keine detaillierten technischen Vorgaben, aber verweist auf bewährte Praktiken, die auch in ISO/IEC 27001 (ISMS) und in Annex B der ISO 42001 mit Umsetzungshinweisen zu finden sind. Viele Anforderungen, z.B. Datenqualitätsmanagement und Risikobewertung, spiegeln im Übrigen die Kernpunkte des EU AI Act wider – beide Regelwerke verlangen letztlich, dass KI-Systeme nur auf verlässlichen, korrekten Daten basieren, um Verzerrungen und Fehler zu minimieren.

Zusammengefasst legt die Norm im Bereich Daten fest: Ohne qualitativ hochwertige und geschützte Daten kein vertrauenswürdiges KI-System. Für FM bedeutet das, dass Projekte wie „KI im Gebäudebetrieb“ immer auch Projekte der Datenorganisation sind. Ein FM-Unternehmen muss eventuell seine Dateninfrastruktur ausbauen (Stichwort IoT-Plattformen), Datenflüsse aus verschiedenen Gewerken zusammenführen und Verantwortlichkeiten für Datenpflege definieren. Die Erfüllung dieser Anforderungen zahlt aber auf den Erfolg der KI-Anwendungen ein – nur mit guten Daten können z.B. Predictive Maintenance-Algorithmen tatsächlich Ausfälle richtig vorhersagen und so den technischen FM-Betrieb optimieren.

Transparenz und Nachvollziehbarkeit (Erklärbarkeit) von KI sind explizite Leitprinzipien der ISO 42001. Da KI-Entscheidungen oft komplex und nicht sofort intuitiv verständlich sind, schreibt die Norm eine umfassende Dokumentation der KI-Systeme vor. Jedes KI-Modell, das in der Organisation eingesetzt wird, sollte hinsichtlich Design, Zweck, Funktionsweise und Leistungskennzahlen dokumentiert sein. Für das FM bedeutet dies, dass z.B. bei einem KI-System zur Flächennutzungsoptimierung klar festgehalten wird: welche Daten werden verwendet, wie funktioniert der Optimierungsalgorithmus (auf hoher Ebene beschrieben), welche Faktoren beeinflussen das Ergebnis und wie wird die Performance gemessen (z.B. tatsächliche vs. prognostizierte Belegungsraten). Diese Transparenzanforderung hilft internen und externen Stakeholdern, das System zu verstehen und Vertrauen zu fassen.

Darüber hinaus betont die Norm die Wichtigkeit der Erklärbarkeit (Explainability). Organisationen müssen in der Lage sein, die durch KI getroffenen Entscheidungen in verständlicher Form zu erläutern. Das bedeutet, wenn z.B. ein KI-System entscheidet, dass ein bestimmter Wartungsauftrag dringend vorgezogen wird, sollte ein Verantwortlicher im FM erklären können, welche Faktoren (Sensorwerte, Historie, Modellvorhersagen) dazu geführt haben. Für High-Stake-Entscheidungen (z.B. Zutrittsverweigerung durch KI-Sicherheitssystem) ist dies umso wichtiger. Hier kann es erforderlich sein, dass die KI Begründungen liefert, oder zumindest ein Mensch anhand der Systemlogs die Entscheidungsgrundlage nachvollziehen kann. ISO 42001 fordert, dass solche Erklärungen nicht nur intern, sondern auch gegenüber Externen (Aufsichtsbehörden, Kunden, Nutzer) möglich sein müssen.

Verantwortlichkeit (Accountability) geht Hand in Hand mit Transparenz. Es reicht nicht, Entscheidungen erklärbar zu machen; es muss auch klar sein, wer die Verantwortung für KI-generierte Entscheidungen trägt. Die Norm setzt daher auf Rechenschaftspflichten: Verantwortliche müssen gegenüber Auditoren und Stakeholdern belegen können, dass KI-Systeme regelkonform gemanagt werden. Dazu gehört z.B. ein Reporting über KI-Aktivitäten: Manche Organisationen veröffentlichen Berichte über ihre KI-Governance, getroffene Maßnahmen und die KI-Performance. ISO 42001 empfiehlt, regelmäßige Kommunikation und Einbindung der Interessengruppen zu betreiben, um Bedenken aufzunehmen und Feedback zu integrieren. Ein FM-Leiter könnte etwa regelmäßige Lageberichte an die Geschäftsführung geben, in denen steht: welche KI-Systeme laufen, welche Vorfälle oder Verbesserungen es gab, wie sie die Compliance gewährleisten. Sollte es zu einem Zwischenfall kommen (z.B. KI-Fehler führte zu Sachschaden), ist dank Transparenz und Verantwortlichkeitsstruktur klar nachvollziehbar, warum es geschah und wer dafür geradesteht bzw. es behebt.

In der Praxis des FM ist Transparenz auch gegenüber Kunden wichtig: Dienstleister im FM-Bereich könnten in Verträgen oder Service-Level-Agreements festhalten, wo KI eingesetzt wird und welche Kontrollmechanismen existieren. Dies schafft Vertrauen. Nachvollziehbarkeit ist zudem ein Lernfaktor – indem man KI-Entscheidungen erklärt, entdeckt man ggf. Optimierungspotenziale oder Fehlannahmen. Etwa könnte die Analyse eines KI-gestützten Helpdesksystems zeigen, dass es bestimmte Ticket-Typen immer falsch priorisiert – was man nur erkennt, wenn man die Muster offenlegt und prüft.

Zusammenfassend stellt die Norm sicher, dass KI im FM kein Black Box-Phänomen bleibt. Statt „die KI wird’s schon richten“ verlangt ISO 42001 ein Höchstmaß an Transparenz und Rechenschaft: Jede KI-Aktivität soll sich erläutern und vertreten lassen. Für Entscheidungsträger im FM erhöht dies die Kontrollfähigkeit: Sie behalten Überblick und können im Zweifel begründet in KI-Prozesse eingreifen.

Ein großer Pluspunkt der ISO 42001 ist, dass sie auf Integration in vorhandene Management- und Geschäftsprozesse abzielt. KI-Management darf kein isoliertes Inselsystem sein, sondern soll nahtlos in die Abläufe der Organisation eingebettet werden. Die Norm fordert explizit die Einbindung von KI-Richtlinien in bestehende Managementsysteme – genannt wird z.B. ISO/IEC 27001 (ISMS) als Beispiel. Für das Facility Management ist besonders die Kompatibilität mit ISO 41001 (Facility-Management-Systeme) sowie ggf. ISO 9001 (Qualität) und ISO 45001 (Arbeitssicherheit) relevant. Viele FM-Unternehmen verfügen bereits über zertifizierte Managementsysteme in Qualität oder Sicherheit; hier sollte das KI-Managementsystem keine Parallelstruktur bilden, sondern vorhandene Gremien, Dokumentationsformen und Prozesslandschaften mitnutzen.

Die Integration zeigt sich z.B. darin, dass KI-Ziele und -Kennzahlen Teil der strategischen FM-Ziele werden. Wenn ein FM-Dienstleister bereits Zielvorgaben zur Kundenzufriedenheit oder Kostenreduktion hat, könnten KI-bezogene Ziele diese unterstützen (etwa: „durch KI-gestützte Instandhaltung Reduktion von Ausfallzeiten um X%“). Die Planungsprozesse (Plan-Phase im PDCA-Zyklus) des KI-Managementsystems sollten mit der allgemeinen Geschäftsplanung synchronisiert sein. Operative Prozesse im FM – von Wartung über Reinigungslogistik bis hin zu Flächenmanagement – müssen angepasst werden, um KI-Technologien effektiv zu nutzen. Zum Beispiel ist ein Instandhaltungsprozess zu erweitern: neben der klassischen Meldung eines Defekts kommt nun vielleicht eine KI-gestützte Vorhersagemeldung hinzu, die von Sensoren getriggert wird. Der Prozess sollte definieren, wie Mitarbeiter mit solchen KI-Warnungen umgehen (z.B. zunächst verifizieren, dann Auftrag auslösen). ISO 42001 hilft hier, indem es fordert, KI in die Dokumentation und Kontrolle bestehender Prozesse einzubauen – die Prozesse bleiben erkennbar gleich, haben aber zusätzliche Schritte oder Rollen für KI.

Auch Kultur und Change Management spielen bei der Integration eine Rolle. Mitarbeitende im FM müssen neue Technologien akzeptieren und verstehen. Durch Integration in bekannte Strukturen (z.B. bekannter Prozessablauf, nur mit KI-Unterstützung) wird der Wandel erleichtert. Die Norm betont Schulung und Bewusstsein als Teil von „Support“ im Managementsystem. Ein praxisnahes Beispiel: Infrastrukturelles FM (z.B. Reinigungsdienste) kann ein KI-gestütztes System zur dynamischen Reinigungsplanung einführen, das tagesaktuell Bereiche priorisiert (z.B. aufgrund von Nutzungsdaten). Damit dies klappt, müssen Reinigungsteams in der Anwendung geschult sein und der neue Ablauf muss in Dienstplänen, Reporting und Qualitätssicherung abgebildet sein – all das sollte im Managementsystem verankert werden, nicht ad-hoc geregelt.

Wichtig ist auch die Integration über verschiedene FM-Bereiche hinweg. Technisches, infrastrukturelles und kaufmännisches FM arbeiten oft mit unterschiedlichen Software-Systemen. KI-Managementsysteme sollten bereichsübergreifend greifen, um z.B. Schnittstellenprobleme zu vermeiden. Wenn die Haustechnik-KI andere Annahmen trifft als die kaufmännische KI (etwa beim Energieeinsatz vs. Kostenplanung), muss es Eskalationsmechanismen geben. ISO 42001 fördert eine holistische Sicht: es verlangt Kontextanalyse und Stakeholder-Berücksichtigung bereits bei der Einrichtung des Systems. Für FM-Unternehmen heißt das, alle internen Stakeholder (Technik, Infrastruktur, Verwaltung, IT, HR etc.) und externe (Kunden, Lieferanten, Behörden) in den Gestaltungsprozess einzubeziehen, damit das KI-Managementsystem breit akzeptiert und verankert wird.

Insgesamt sorgt die Integration dafür, dass KI kein Fremdkörper im Tagesgeschäft bleibt. Die Norm macht KI-Management zu einem Bestandteil der normalen Unternehmensführung und der operativen Prozesse. Dadurch werden Synergien geschaffen – z.B. können bestehende Risiko-Workshops oder Managementbewertungssitzungen um KI-Aspekte erweitert werden, statt alles neu aufzusetzen. Für Entscheider im FM ist diese Integration zentral, denn sie bedeutet: man muss nicht alles „neu erfinden“, sondern kann auf bewährten Strukturen aufbauen. Damit erhöht sich die Chance, dass das KI-Managementsystem effizient umgesetzt wird und wirklich im Alltag ankommt.

• Organisationale Auswirkungen: Zunächst bringt die Norm Anforderungen mit sich, die Organisationsänderungen bedingen können – z.B. neue Rollen (KI-Verantwortliche, Gremien), angepasste Prozesse, zusätzliche Dokumentationspflichten und Investitionen in Personal und Technologien. Unternehmen, die es ernst meinen, müssen Ressourcen bereitstellen und die Mitarbeiterqualifikationen entwickeln. Das kann bedeuten, dass ein FM-Unternehmen Data Scientists oder KI-Experten einstellt bzw. ausbildet, oder dass es in neue IT-Infrastruktur (etwa zur Datensammlung aus Gebäuden) investiert. Solche Veränderungen sollten vom Top-Management getragen werden; ISO 42001 verlangt ja explizit Commitment von oben. Möglicherweise entsteht eine neue Schnittstelle zwischen FM und IT-Abteilung, da KI-Themen oft technisch anspruchsvoll sind. Die Organisation muss sich agiler aufstellen, da KI-Projekte iterative Verbesserungen erfordern (Stichwort agile Methoden in der Entwicklung). Positiv kann sich auswirken, dass die Beschäftigten im FM durch den KI-Einsatz entlastet werden von Routineaufgaben (z.B. automatische Ticket-Kategorisierung) und sich höherwertigen Tätigkeiten widmen können. Dies setzt aber eine gute Change-Management-Strategie voraus, um Akzeptanz für KI bei Belegschaft und Führung zu schaffen.

• Compliance und rechtliche Aspekte: Durch ISO 42001 positioniert sich ein Unternehmen proaktiv in Sachen KI-Compliance. Zwar ist die Norm selbst freiwillig, doch sie deckt wesentliche Anforderungen aufkommender Gesetze ab. Wie Ibrahim Halfaoui (TÜV SÜD) hervorhebt, verfolgen EU AI Act und ISO 42001 gemeinsame Ziele – insbesondere sichere, vertrauenswürdige KI durch Transparenz, Rechenschaft und Risikomanagement. Wer ISO 42001 umsetzt, schafft somit eine solide Basis, um aktuelle und künftige KI-Vorschriften zu erfüllen. Beispielsweise verlangt der AI Act für „hochriskante“ KI u.a. Risikobewertungen, Protokollierung, menschliche Aufsicht und Konformitätsbewertung – all das sind Elemente, die ISO 42001 ebenfalls fordert bzw. fördert. Für ein FM-Unternehmen könnte dies konkret relevant werden, wenn es KI-Systeme einsetzt, die unter den AI Act fallen (z.B. biometrische Zugangskontrolle = hohes Risiko). Mit einem zertifizierten KI-Managementsystem kann das Unternehmen nachweisen, dass es seinen Sorgfaltspflichten nachkommt, auch wenn die Norm keine automatische Gesetzeskonformität garantiert. Darüber hinaus erleichtert ISO 42001 die globale Interoperabilität – Unternehmen, die international FM-Dienstleistungen erbringen, können mit einem nach globalem Standard ausgerichteten KI-Management gegenüber Kunden und Regulatoren in verschiedenen Ländern punkten.

• Auch IT-Compliance und Datenschutz profitieren: ISO 42001 fordert, KI-Praxis an bestehende Vorschriften (z.B. DSGVO) anzupassen. Indem man in der KI-Governance Datenschutzprinzipien verankert, reduziert man das Risiko von Datenschutzverstößen. Zudem kann eine ISO 42001-Zertifizierung Audit-Erleichterungen bringen – z.B. wenn Kunden nach evidenzbasierten Nachweisen für verantwortungsvolle KI-Nutzung fragen (ähnlich wie ISO 27001-Zertifikate oft als Vertrauensbeweis dienen).

• Strategische Implikationen: Die Norm hat auch strategische Wirkung. Unternehmen, die früh auf ISO 42001 setzen, schaffen Wettbewerbsvorteile. Sie stärken das Vertrauen von Kunden und Partnern in ihre KI-basierten Services, denn ein zertifiziertes KI-Managementsystem signalisiert Qualität und Verantwortungsbewusstsein. Gerade im FM, wo Vertrauen in die Zuverlässigkeit von Dienstleistungen essenziell ist, kann dies ein Unterscheidungsmerkmal am Markt sein. Ferner unterstützt die Norm die Innovationsfähigkeit: Ein strukturiertes Management von KI ermöglicht es, Chancen gezielt zu identifizieren und zu nutzen, statt unkoordiniert zu experimentieren. Mit PDCA-Zyklen und kontinuierlicher Verbesserung werden KI-Anwendungen stetig optimiert, was langfristig zu besseren Ergebnissen und effizienteren Prozessen führt.

• Strategisch fügt sich KI-Governance in die übergeordnete Digitalisierungsstrategie ein. FM-Unternehmen stehen unter Druck, digitaler zu werden – sei es durch Smart Buildings, IoT oder eben KI. ISO 42001 liefert einen Rahmen, um digitale Innovation mit Unternehmenswerten und -zielen zu verbinden (Ethik, Effizienz, Qualität). Halfaoui betont, dass die Integration ethischer Prinzipien in die digitale Strategie ein Vorteil für Unternehmen ist. So kann man Innovation vorantreiben, ohne die „Licence to Operate“ (Akzeptanz, Regeltreue) zu gefährden.

• Zusammengefasst: Die Implementierung von ISO 42001 im FM wirkt wie ein Change-Projekt, das die Organisation kompetenter, vertrauenswürdiger und zukunftssicherer macht. Kurzfristig sind Ressourcen nötig, aber mittel- bis langfristig zahlt es sich durch geringere Risiken, höhere Effizienz und bessere Marktchancen aus.

Anwendungsfall: Instandhaltung von gebäudetechnischen Anlagen (Heizung, Klima, Aufzüge, Maschinen) mit KI-Unterstützung. Durch Predictive Maintenance analysiert eine KI historische und Echtzeit-Sensordaten, um Ausfälle vorherzusagen. So können Wartungen durchgeführt werden, bevor ein Defekt auftritt, was Ausfallzeiten minimiert und Kosten spart. Ein Beispiel aus der Praxis: KI-Modelle bewerten Vibrations- oder Temperaturdaten von Lüftungsanlagen und melden proaktiv, wenn Anzeichen von Verschleiß detektiert werden.

Nutzen: Reduktion ungeplanter Anlagenstillstände, optimierte Ersatzteilbevorratung, längere Lebensdauer der Anlagen und effizienterer Personaleinsatz. Studien berichten, dass derartige KI-gestützte Wartung die Instandhaltungskosten um zweistellige Prozentsätze senken kann (z.B. weniger Notfalleinsätze und Schäden durch Folgedefekte).

Normative Anforderungen und Umsetzung: Predictive-Maintenance-KI fällt unter FM-interne Anwendungen, die typischerweise begrenztes bis mittleres Risiko aufweisen (kein direkter Eingriff in Menschenrechte, aber potenziell Einfluss auf Betriebssicherheit). Dennoch fordert ISO 42001 hier ein vollwertiges Risikomanagement: Die FM-Organisation muss z.B. das Risiko bewerten, dass die KI falsche Vorhersagen trifft (False Negatives: ein drohender Ausfall bleibt unerkannt; False Positives: es wird Wartung empfohlen ohne Notwendigkeit). Maßnahmen könnten sein: regelmäßige manuelle Inspektionen als Backup (Human Oversight), oder Konfiguration der KI so, dass sie konservativ warnt (lieber ein Fehlalarm als ein Ausfall). Datenmanagement ist essenziell: Die KI muss mit qualitativ hochwertigen Sensordaten arbeiten. ISO 42001 verlangt Validierung – d.h., FM-Techniker prüfen initial, ob Sensoren korrekt messen, und Datenbereinigung – z.B. Filterung von Ausreißern. Transparenz: Das Wartungsteam sollte verstehen, warum die KI ein bestimmtes Teil als kritisch einstuft (z.B. Anstieg der Vibrationsamplitude um X% über Y Tage). Hier sind einfache Visualisierungen hilfreich (eine vom KI-System generierte Trendkurve), sodass die menschlichen Entscheider die KI-Empfehlung nachvollziehen und verantworten können. Governance: Ein Verantwortlicher (z.B. technischer Leiter) muss benannt sein, der über Wartungsvorschläge der KI entscheidet und im Zweifel Prioritäten setzt – so bleibt Accountability gewahrt. Dokumentiert wird das Ganze im Instandhaltungsplan und Berichten, was ISO 42001’s Dokumentationspflicht erfüllt. Zudem sollte der KI-Einsatz in diesem Bereich mit bereits vorhandenen Wartungsprozessen verschmolzen werden (Integration): z.B. KI-Warnungen fließen direkt ins bestehende Ticket- oder Wartungsplanungssystem ein, statt ein separates System zu sein. Dies entspricht der Normforderung, KI-Management ins laufende Betriebsmanagement einzubetten.

• Anwendungsfall: Im infrastrukturellen FM, etwa im Gebäudeservice oder Nutzerbetreuung, fallen zahlreiche Service-Tickets oder Störungsmeldungen an (z.B. „Licht defekt im Raum X“ oder „Reinigung im Bereich Y unzureichend“). KI, insbesondere Sprachmodelle / NLP, können eingesetzt werden, um diese freien Textmeldungen automatisch zu kategorisieren und priorisieren. Ein Sprachmodell analysiert den Inhalt einer Meldung und weist sie dem richtigen Themenfeld und Team zu (Elektro, HKL, Reinigung, Sicherheit etc.). Dabei kann es gleich Dringlichkeiten vorschlagen (z.B. Wasserschaden = hoch, Glühbirne defekt = niedriger).

• Nutzen: Solch ein KI-System entlastet das Servicemanagement-Desk. Mitarbeiter müssen weniger Zeit auf manuelles Lesen und Einsortieren der Tickets verwenden. Die Reaktionszeiten verbessern sich, weil Meldungen nicht liegen bleiben. Die Zuordnung wird konsistenter und Fehler durch falsche Kategorisierung nehmen ab. Insgesamt erhöht dies die Effizienz der infrastrukturellen Services und letztlich die Zufriedenheit der Gebäudenutzer.

• Normative Anforderungen und Umsetzung: Obwohl die Automatisierung hier vor allem internen Prozesscharakter hat, sind dennoch Normaspekte relevant. Transparenz und Erklärbarkeit: Wenn ein Meldungs-Einsender oder ein Teamleiter fragt, warum ein Ticket niedrig priorisiert wurde, muss dies erklärbar sein. Das KI-Modell könnte z.B. ein Schlagwort-Highlighting anbieten („Begriff 'Notfall' nicht enthalten, daher nicht als kritisch eingestuft“) – solche Features erhöhen die Akzeptanz und erfüllen ISO 42001’s Transparenzgebot. Bias-Vermeidung: Sprachmodelle können unbeabsichtigt voreingenommen sein. Beispielsweise darf das System nicht Meldungen von bestimmten Nutzergruppen systematisch geringer priorisieren. Daher sollte das Trainingsmaterial divers und bias-geprüft sein. Risikomanagement: Das Risiko ist hier primär operativ – eine falsche Kategorisierung könnte eine ernsthafte Störung verzögern. Daher muss ein Mechanismus existieren, um Fehlzuweisungen zu erkennen. In ISO 42001-Termini: kontinuierliche Überwachung der KI-Leistung und regelmäßige Review der Kategorien. Eine Maßnahme wäre, monatlich Stichproben zu prüfen, ob Tickets korrekt behandelt wurden, und die KI ggf. nachzutrainieren (Aspekt der kontinuierlichen Verbesserung). Integration: Das KI-System sollte direkt an das bestehende CAFM (Computer Aided Facility Management)-Ticketingsystem angebunden sein, sodass es keine Medienbrüche gibt. Bediener sollten idealerweise gar nicht merken, dass KI im Spiel ist – außer an der schnelleren Bearbeitung. ISO 42001 fördert diese unsichtbare Integration in den Prozess (die KI als Werkzeug im bestehenden Ablauf) ausdrücklich. Governance & Verantwortung: Trotz Automatisierung muss ein Mensch letztlich dafür verantwortlich sein, dass Tickets korrekt bearbeitet werden. Das FM-Team sollte klare Regeln definieren, wann menschliches Eingreifen nötig ist (z.B. bei Unsicherheit markiert das KI-System ein Ticket für manuelle Sichtung). Dies stellt sicher, dass Kontrolle und Verantwortlichkeit gewahrt bleiben, wie es die Norm verlangt.

• Dieses Beispiel zeigt eindrücklich, dass KI ein hilfreiches Werkzeug im infrastrukturellen FM sein kann, solange es durch geeignete organisatorische Maßnahmen flankiert wird. Dr. Merkel, CTO einer FM-nahen IT-Firma, betont in einem Interview, dass in Unternehmensanwendungen Nachvollziehbarkeit, Zuverlässigkeit, Datenschutz und Sicherheit absolut notwendig sind – ebenso wie vollständige Prozessintegration, damit KI nicht zum Selbstzweck, sondern zum Teil des Arbeitsablaufs wird. Genau diese Punkte deckt ISO 42001 ab.

Tabelle 1: Ausgewählte KI-Anwendungsfälle im Facility Management mit Nutzen und relevanten Normanforderungen.

Diese Übersicht macht deutlich, dass alle Teilbereiche des FM von KI profitieren können, jedoch jeweils unterschiedliche Schwerpunkte bei den Anforderungen der ISO 42001 setzen müssen. Ein durchdachtes KI-Managementsystem nach der Norm ermöglicht es, diese vielfältigen Anwendungen unter ein gemeinsames Governance-Dach zu bringen, ohne die bereichsspezifischen Besonderheiten zu vernachlässigen.

• Vermeidung des „Papiertiger“-Phänomens: Eine oft genannte Gefahr bei Managementsystemen ist, dass sie lediglich auf dem Papier existieren, ohne praktische Wirkung zu entfalten. Gerade bei einer neuen Norm wie ISO 42001 besteht das Risiko, dass Unternehmen zwar ein AIMS dokumentieren, es aber im Alltag nicht leben. Ursachen können sein: unzureichendes Verständnis der Norm, fehlende Ressourcen, oder die Behandlung des Themas als bloße Compliance-Übung zur Zertifikatserlangung. Die Norm selbst versucht dem entgegenzuwirken, indem sie Wirksamkeitsprüfung und risikogerechte Ausgestaltung fordert. Auditoren werden gezielt schauen, ob die KI-Prozesse zum Unternehmen passen und tatsächlich angewandt werden. Für FM-Leitungen bedeutet das: ohne echtes Commitment und Anpassung der Unternehmenskultur wird ISO 42001 scheitern. KI-Governance muss ins Tagesgeschäft integriert und von Führungskräften vorgelebt werden.

• Aufwand und Ressourcenbedarf: Die Implementierung eines KI-Managementsystems ist aufwendig. Es erfordert interdisziplinäres Know-how (FM-Fachwissen, KI-Technologie, Recht/Compliance) und initialen Zeit- sowie Kostenaufwand. KMUs im FM könnten hier an Grenzen stoßen. Es stellt sich die Frage der Verhältnismäßigkeit: Lohnt sich der volle ISO 42001-Aufbau, wenn ein kleiner FM-Betrieb vielleicht nur eine Handvoll KI-Funktionen nutzt? Die Norm ist zwar skalierbar und freiwillig, aber nicht jede Organisation wird sofort eine Zertifizierung anstreben. Möglicherweise wählen Unternehmen einen schrittweisen Ansatz (erst interne Orientierung an der Norm, später Zertifizierung). Entscheidend ist, dass – wie bei Qualitätsmanagement – die Vorteile (Effizienz, weniger Risiken, besseres Marketing) die Kosten mittelfristig überwiegen. Unique AG, ein KI-Anwender in der Finanzbranche, berichtet etwa, dass ihr KIMS nicht nur fürs Kundenvertrauen, sondern auch intern zur Prozessverbesserung und Wachstumsabsicherung dient. Solche Benefits müssen im FM erst noch empirisch nachgewiesen werden, aber es ist plausibel, dass sich ähnliche Effekte zeigen.

• Komplexität der Norminhalte: ISO 42001 deckt ein breites Spektrum ab – von Ethikprinzipien über IT-Kontrollen bis zu Organisationsstrukturen. Für FM-Manager ohne KI-Hintergrund sind manche Konzepte neu (z.B. algorithmische Bias-Tests, ML-Lebenszyklusmanagement). Hier besteht die Herausforderung in der Weiterbildung und Beratung. Externe Schulungen (wie ISO 42001 Foundation Trainings) oder Beratungsleistungen können helfen, Know-how aufzubauen. Die Norm selbst liefert Hilfestellungen in Form der Anhänge (A bis D) mit konkreten Controls und Implementierungstipps. Dennoch wird es Interpretationsspielräume geben, z.B. Wie detailliert muss eine KI-Dokumentation sein, um „ausreichend transparent“ zu sein? oder Was gilt als angemessene Häufigkeit für Risiko-Assessments? In solchen Fragen werden Best Practices und Leitfäden an Bedeutung gewinnen. Branchenverbände oder FM-spezifische Gremien könnten branchentypische Auslegungen entwickeln, damit FM-Unternehmen sich orientieren können.

• Dynamik der KI-Entwicklung: KI-Technologie entwickelt sich rasant. Eine Norm ist aber per Definition statisch bis zur nächsten Revision. Es ist kritisch zu beobachten, ob ISO 42001 flexibel genug ist, um z.B. neue KI-Paradigmen (wie immer größere Foundation Models, Edge-AI in IoT-Geräten etc.) abzudecken. Allerdings ist die Norm prinzipienbasiert formuliert und sollte daher auf neue Technik anwendbar bleiben – etwa bleibt Transparenz ein Wert, egal ob es sich um ein kleines Entscheidungsbaum-Modell oder ein riesiges neuronales Netz handelt. Das Erfordernis kontinuierlicher Verbesserung zwingt Organisationen ohnehin, am Ball zu bleiben. Dennoch wird es auf Dauer wichtig sein, Norm und Regulierung synchron zu halten: Der EU AI Act könnte nachjustiert werden, neue ISO-Normen (wie ISO 42005 für KI-Impact-Assessment) kommen hinzu, etc. Für FM-Entscheider ist dies eine Herausforderung, all diese Entwicklungen im Blick zu behalten – aber auch eine Chance, proaktiv den Standard mitzugestalten (z.B. durch Teilnahme an Normungsarbeit).

• Begrenzter Fokus der Norm: Kritisch kann man anmerken, dass ISO 42001 bewusst technologie-agnostisch ist und daher wenig zu konkreten technischen Anforderungen sagt (außer im Rahmen der Anhänge). Für FM-Unternehmen, die praxisorientierte Leitfäden suchen, mag das unbefriedigend sein. Beispielsweise macht die Norm keine Aussage darüber, welche Sicherheitsstandards ein KI-System im Gebäude erfüllen soll (das wäre eher Thema von funktionalen Sicherheitsnormen oder IT-Sicherheitsrichtlinien). Auch zur Aufwandsschätzung oder Kosteneffizienz liefert die Norm naturgemäß nichts. Hier muss jedes Unternehmen eigene Erfahrungen sammeln. Zudem gilt: ISO 42001 kümmert sich um Organisation und Prozess – die Qualität der eigentlichen KI-Modelle (etwa ob ein Machine-Learning-Modell technisch gut entwickelt ist) hängt weiterhin stark von den eingesetzten Data Scientists und Tools ab. Die Norm fordert zwar Kompetenzen und definiert Prozessschritte, aber garantiert nicht automatisch technisch bessere KI. Somit ist sie kein Ersatz für technische Qualitätssicherung (z.B. Testing von KI-Modellen), sondern ein Rahmen, in dem solche Qualitätssicherung stattfinden muss.

• Kulturelle Akzeptanz: Ein oft unterschätzter Faktor ist die Akzeptanzkultur. KI kann in Belegschaften Ängste auslösen (Jobverlust, Überwachung) oder Widerstände (Ablehnung, Misstrauen gegenüber dem „Algorithmus“). ISO 42001 betont zwar Ethik, Transparenz und Schulung, doch Papier allein überzeugt keine Mitarbeiter. Hier müssen FM-Führungskräfte einen Kulturwandel fördern: weg von Bauchgefühl hin zu datenunterstützten Entscheidungen, aber ohne den Wert menschlicher Expertise zu schmälern. Dieses Gleichgewicht zu finden, ist herausfordernd. Erfolgsfaktor ist sicherlich, früh Stakeholder einzubinden – wie es die Norm auch vorsieht: Mitarbeitervertretungen, Datenschutzbeauftragte, Kunden sollten mitreden können, damit das System auf Akzeptanz und Praktikabilität getrimmt wird.

• Chancen: All den Herausforderungen stehen signifikante Chancen gegenüber. Unternehmen, die die Hürden meistern, positionieren sich als Innovationsführer. Sie haben mit großer Wahrscheinlichkeit weniger KI-Pannen, weil sie proaktiv vorsorgen. Sie können gegenüber Kunden und Eigentümern argumentieren, dass ihre KI-gestützten Services nach höchsten Standards gemanagt sind – ein verkaufsförderndes Argument in Zeiten, wo viele beim Stichwort KI noch skeptisch sind. Zudem kann ISO 42001 als Katalysator für interne Digitalisierung dienen: Wenn man schon dabei ist, Datenflüsse und Prozesse zu ordnen, werden auch Nicht-KI-Bereiche davon profitieren (etwa besseres Datenverständnis allgemein, Abbau von Datensilos zwischen FM-Abteilungen). Das Normprojekt zwingt zur ganzheitlichen Sicht auf die Organisation, was oft Verbesserungspotenziale an Tageslicht bringt, die vorher unentdeckt blieben.

• Insgesamt überwiegt in der kritischen Abwägung der Eindruck, dass ISO 42001 im FM machbar und lohnend ist, wenn man ihn ernsthaft betreibt. Aber er ist kein Selbstläufer – ohne echtes Commitment, ausreichende Ressourcen und den Willen, auch kulturell neue Wege zu gehen, besteht die Gefahr, dass das KI-Managementsystem bloß ein weiteres Handbuch im Regal wird. Die nächsten Jahre und erste Praxisberichte (Pilot-Zertifizierungen in der FM-Branche) werden zeigen, wie hoch die Hürden wirklich sind und welche Best Practices sich herauskristallisieren.

Folgt man diesen Schritten, erhöht sich die Wahrscheinlichkeit, dass die Implementierung von ISO 42001 im FM ein nachhaltiger Erfolg wird – sprich, dass die Norm nicht als Bürokratieübung verpufft, sondern tatsächlich zu besseren Ergebnissen und mehr Vertrauen in KI-gestützte FM-Prozesse führt. Jede Organisation wird den Weg leicht anders gehen, aber die oben genannten Kernaktionen sind allgemein gültig und leiten sich direkt aus den Normanforderungen und dem FM-Kontext ab.

• Strategische Verankerung und Top-Management-Sponsorship: Beginnen Sie mit einem klaren Bekenntnis der Unternehmensführung zur verantwortungsvollen KI-Nutzung. Die Einbindung der Norm sollte Teil der FM-Strategie sein und vom Top-Management aktiv unterstützt werden. Setzen Sie KI-Governance als strategisches Ziel und kommunizieren Sie den Nutzen intern (Risikominimierung, Effizienz, Zukunftsfähigkeit).

• Reifegradanalyse und Scope-Definition: Führen Sie zunächst eine Bestandsaufnahme durch: Welche KI-Systeme oder digitalen Lösungen sind bereits im Einsatz? Welche sind geplant? Bewerten Sie den Status quo in Bezug auf Governance, Risiko, Datenmanagement etc. Daraus lässt sich der Handlungsbedarf ableiten. Definieren Sie den Geltungsbereich des KI-Managementsystems: z.B. alle KI-Anwendungen im technischen, infrastrukturellen und kaufmännischen FM innerhalb der Organisation. So ist klar, was alles unter die Norm fallen wird.

• Projektorganisation und Verantwortliche benennen: Stellen Sie ein interdisziplinäres Projektteam zusammen (FM-Experten, IT/Data Science, Compliance/Datenschutz, ggf. externe Berater). Ernennen Sie einen KI-Management-Beauftragten oder Projektleiter, der das Vorhaben koordiniert. Richten Sie bei Bedarf ein Steuerungsgremium ein, um Entscheidungen zu fällen (später kann dies in ein permanentes KI-Governance-Board übergehen). Klare Rollenverteilungen von Anfang an entsprechen den Normvorgaben und beschleunigen die Umsetzung.

• Schulung und Sensibilisierung: Investieren Sie früh in Trainings für das Schlüsselpersonal. Führungskräfte sollten die Grundprinzipien von ISO 42001 kennen; Techniker und Administratoren benötigen Wissen zu Themen wie Datenqualität, Modellüberwachung, etc. Angebote wie ISO 42001 Foundation-Kurse oder Workshops mit Praxisbeispielen aus dem FM erleichtern den Einstieg. Außerdem ist Awareness bei allen Mitarbeitern wichtig: Kommunizieren Sie, was KI leisten soll und wie das Managementsystem Sicherheit bietet – um Akzeptanz und Mitarbeit zu fördern.

• Entwicklung von KI-Richtlinien und -Leitlinien: Entwerfen Sie auf Basis der Norm Anforderungen unternehmensspezifische KI-Policies. Das sollte Leitplanken festlegen: Welche KI-Anwendungen sind erwünscht, welche tabu? Welche Ethikgrundsätze gelten (z.B. Fairness, Transparenz)? Wie wird mit Ergebnissen umgegangen? Diese Policy bildet das Fundament (Annex A der Norm spricht von KI-Politiken). Integrieren Sie dabei vorhandene Regelungen (Datenschutzrichtlinie, IT-Security-Policy), um Doppelstrukturen zu vermeiden. Die KI-Policy sollte vom Management verabschiedet und allen Mitarbeitern zugänglich gemacht werden.

• Bestehende Prozesse anpassen – Integration statt Neukreation: Überprüfen Sie relevante bestehende FM-Prozesse auf Berührungspunkte mit KI. Ergänzen oder ändern Sie diese Prozesse, um KI-Aspekte zu berücksichtigen, anstatt komplett neue Prozesse aufzusetzen. Beispiele: Instandhaltungsprozess um KI-gestützte Wartung ergänzen (inkl. Prüf- und Freigabeschritten für KI-Empfehlungen); Beschaffungsprozess um KI-Risiko-Check ergänzen (z.B. prüfen, ob bei Anschaffung einer neuen KI-Software die Normanforderungen bedacht wurden). Dokumentieren Sie die Änderungen in den Prozessbeschreibungen und Arbeitsanweisungen, damit sie auditfest sind und von Mitarbeitern eingehalten werden.

• Risikomanagement systematisch einführen: Etablieren Sie einen wiederkehrenden KI-Risikomanagement-Prozess. Dieser sollte umfassen: Identifikation aller relevanten Risiken pro KI-System (ethisch, operativ, rechtlich); Bewertung der Risiken (z.B. nach Eintrittswahrscheinlichkeit und Schadensausmaß); Definition von Risikosteuerungsmaßnahmen. Nutzen Sie vorhandene Risikomanagement-Workshops im Unternehmen und erweitern Sie sie um KI-Themen, um Synergien zu nutzen. Dokumentieren Sie die Ergebnisse z.B. in einem „KI-Risikoregister“. Planen Sie regelmäßige Reviews (mind. jährlich oder bei wesentlichen Änderungen eines KI-Systems). Denken Sie auch an Szenarien-Analysen und Notfallpläne: Was tun, wenn eine KI unerwartet ausfällt oder Fehlverhalten zeigt? ISO 42001 verlangt, auf solche Eventualitäten vorbereitet zu sein (Notfallverfahren).

• Datenmanagement und Infrastruktur verbessern: Identifizieren Sie die Datenquellen und -speicher, die Ihre KI-Systeme speisen. Stellen Sie sicher, dass Datenqualität-Kontrollen eingebaut werden – z.B. automatisierte Validierungsroutinen in IoT-Plattformen, Monitoring von Datenströmen auf Lücken oder Anomalien. Richten Sie Verantwortlichkeiten für Datensätze ein (Data Owner Konzept). Prüfen Sie auch datenschutzrechtliche Aspekte: Führen Sie, wo nötig, Datenschutz-Folgenabschätzungen durch (kann parallel zur KI-Risikoanalyse geschehen). Vertragliche Vereinbarungen mit externen Cloud- oder KI-Anbietern sollten überprüft oder angepasst werden, um Normanforderungen abzudecken (z.B. Mitwirkungspflichten beim Audit, Zusicherung von Datenlöschung etc., siehe Annex A Beziehungen zu Dritten). Gegebenenfalls sind IT-Upgrades nötig (für sichere Speicherung, Rechenleistung für KI-Modelle, etc.).

• Transparenz und Dokumentation aufbauen: Entwickeln Sie ein Dokumentationsschema für alle KI-Systeme. Möglich ist z.B. ein „KI-System-Steckbrief“ pro Anwendung, der alle wichtigen Informationen enthält: Zweck, Funktionsweise (Modelltyp, Input-Output), Datenquellen, Verantwortlicher, Risiken, getroffene Maßnahmen, Performance-KPIs. Führen Sie ein zentrales Verzeichnis dieser Steckbriefe. Dies ermöglicht nicht nur internes Verständnis, sondern dient auch als Nachweis gegenüber Auditoren. Zusätzlich planen Sie, wie Sie Erklärbarkeit gewährleisten: Schulen Sie Entwickler darin, Modelle erklärbar zu machen, und erstellen Sie ggf. FAQ oder Visualisierungen für Anwender der KI. Für externe Anfragen (von Kunden oder Behörden) sollten Prozesse definiert sein: Wer darf was auskunftsgeben? Halten Sie Erfolgsgeschichten und Lessons Learned fest – Transparenz bedeutet auch, aus Erfahrungen zu lernen.

• Pilotphase und schrittweises Ausrollen: Starten Sie mit einem Pilot-KI-Projekt, um das KI-Managementsystem im Kleinen zu testen. Beispielsweise können Sie eine einzelne KI-Anwendung (vielleicht ein weniger kritisches, aber repräsentatives System) auswählen und alle Normanforderungen exemplarisch daran durchspielen. Diese Pilotphase liefert wertvolle Erkenntnisse über Lücken und praktische Hürden. Justieren Sie anhand der Pilot-Ergebnisse Ihre Policies, Prozesse und Dokumentationen nach. Danach rollen Sie das System sukzessive auf weitere KI-Anwendungen und Bereiche aus. Ein stufenweises Vorgehen erleichtert das Change Management und überfordert nicht die Organisation.

• Internes Audit und Managementbewertung: Bevor Sie an eine Zertifizierung denken, führen Sie ein internes Audit des KI-Managementsystems durch – idealerweise durch erfahrene Auditoren aus anderen Bereichen oder externe Experten. Dies hilft, Schwachstellen aufzudecken. Ebenso sollten Sie eine Management Review (ISO-Terminologie: Managementbewertung) durchführen: Das Top-Management bewertet, ob das KI-Managementsystem effektiv ist, ob Ziele erreicht werden und wo Verbesserungsbedarf besteht. Diese formalen Schritte sind selbst Anforderungen der Norm und stellen sicher, dass Sie reif für die externe Auditierung sind.

• Zertifizierung (optional) und kontinuierliche Verbesserung: Entscheiden Sie, ob eine Zertifizierung für Ihr Unternehmen sinnvoll ist (Marketingvorteil, Kundenanforderung, internes Qualitätsversprechen). Wenn ja, wählen Sie eine akkreditierte Zertifizierungsstelle und durchlaufen Sie das zweistufige Auditverfahren (Dokumentenprüfung und Vor-Ort-Audit). Unabhängig von der Zertifizierung sollte das Motto aber sein: kontinuierlich verbessern. Nutzen Sie KPI-Daten der KI-Systeme, Auditfeststellungen und Feedback von Nutzern, um das System laufend zu optimieren. Bauen Sie eine Kultur des Lernens auf – z.B. regelmäßige Workshops, in denen KI-Verantwortliche aus verschiedenen FM-Bereichen Erfahrungen austauschen. So bleibt das KI-Managementsystem agil und aktuell.